Ochrana osobních údajů

Zásady ochrany osobních údajů Creditinfo

Spolek Creditinfo – České Centrum Kreditních Informací z.s., IČ 04715276, se sídlem Sokolovská 100/94, Karlín, 186 00 Praha 8, zapsaný u Městského soudu v Praze pod sp. zn. L 64629 (dále také „My“ nebo „Spolek“) jako správce osobních údajů Vás jako klienta nebo potenciálního klienta našich členů informuje o zpracování osobních údajů ve Spolku a zásadách ochrany soukromí.

Ochrana Vašich osobních údajů je pro nás důležitá, a proto se budeme při nakládání s Vašimi osobními údaji těmito zásadami řídit. Když využíváte služby našich členů, je pro nás důležité, aby pro Vás zpracování Vašich údajů bylo naprosto srozumitelné, transparentní a znali jste všechna svá práva.

V těchto Zásadách ochrany osobních údajů Creditinfo (dále také „Zásady“) vysvětlujeme:

  • jaké databáze osobních údajů vedeme;
  • jaké Vaše osobní údaje budeme zpracovávat;
  • jak využíváme získané osobní údaje a na jakém právním základu;
  • kdo má k Vašim osobním údajům přístup;
  • po jakou dobu budeme Vaše osobní údaje zpracovávat;
  • jak jsou Vaše osobní údaje zabezpečeny; a
  • jaká máte ve vztahu k ochraně Vašich osobních údajů práva.

V případě, že budete potřebovat kteroukoliv část textu vysvětlit, poradit anebo projednat další zpracování Vašich osobních údajů, můžete se na nás kdykoliv obrátit na e-mailové adrese našeho pověřence ochrany osobních údajů, uvedené níže.

Naším pověřencem pro ochranu osobních údajů, který Vám odpoví na jakékoliv Vaše otázky, týkající se námi prováděného zpracování osobních údajů je Jakub Burian, e-mail: dpocrkispolek@creditinfo.com.

1. JAKÉ DATABÁZE OSOBNÍCH ÚDAJŮ VEDEME

Na základě společného zájmu členů Spolku provozujeme tyto informační databáze:

  • informační databázi o bonitě a důvěryhodnosti spotřebitele (dále také „Registr“); a
  • informační databázi o ostatních údajích, vypovídajících o bonitě a důvěryhodnosti spotřebitele“ (dále také „Databáze Ostatních Údajů“)

(Registr a Databáze Ostatních Údajů dále společně také „Databáze“).

V Databázích jsou zpracovávány údaje o Vás jako potenciálních klientech a klientech jednotlivých členů Spolku v souladu se Zásadami.

 

Informace o Registru

Registr je informační databází o Vaší bonitě a důvěryhodnosti jako spotřebitele ve smyslu § 20z zákona
č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů (dále také „ZOOS“). V Registru zpracováváme údaje o Vaší bonitě, platební morálce a důvěryhodnosti v souladu se ZOOS. Počáteční i průběžné zařazování či aktualizace osobních údajů v Registru nejsou podmíněny poskytnutím Vašeho souhlasu se zpracováním těchto údajů.

Vaše údaje do Registru mohou předávat pouze ti členové Spolku, kteří s námi mají uzavřenou smlouvu o zpracování údajů v rámci Registru, a kteří jsou zároveň prodávajícími (např. poskytovateli spotřebitelského úvěru) ve smyslu ZOOS (dále také „Oprávnění uživatelé Registru“). Získávat Vaše údaje z Registru smí taktéž pouze Oprávnění uživatelé Registru, a to jen v přímé souvislosti s konkrétním obchodním případem, a, pokud se jedná o záznamy o Vašich závazcích, u kterých nedošlo k prodlení, a potenciálních závazcích, pouze s Vaším souhlasem.

Informace o Databázi Ostatních Údajů

Databáze Ostatních Údajů (dále také „DOÚ“) je informační databází o ostatních údajích, vypovídajících o Vaší bonitě a důvěryhodnosti. V DOÚ jsou zpracovávány další údaje Vaší o bonitě, platební morálce a důvěryhodnosti, získané na základě Vašeho souhlasu.

Poskytovat nám a získávat Vaše osobní údaje z DOÚ mohou pouze ti členové Spolku, kteří s námi mají uzavřenou smlouvu o zpracování údajů v rámci DOÚ, na základě Vašeho souhlasu, a to jen v přímé souvislosti s konkrétním obchodním případem (dále také „Oprávnění uživatelé DOÚ“). K Vašim osobním údajům v DOÚ tak nemají přístup všichni členové Spolku bez dalšího.

2. JAKÉ VAŠE OSOBNÍ ÚDAJE BUDEME ZPRACOVÁVAT

Zpracováváme následující osobní údaje:

  • Osobní údaje, které nám sdělujete. Jedná se o Vaše identifikační údaje, které nám sdělíte při komunikaci s námi, vyplývající z konkrétní situace (například když nám zasíláte žádost, stížnost nebo podnět). Zpravidla se bude jednat o Vaše jméno, příjmení, e-mailovou nebo jinou adresu a o informace, obsažené ve zprávě. V případě, že jsme povinni pro vyřízení Vaší žádosti ověřit Vaši identitu, můžeme Vás navíc požádat o sdělení dalších osobních údajů, nezbytných pro ověření.
  • Osobní údaje předané členy Spolku do Registru. Jedná se o Vaše osobní údaje, předané do Registru Oprávněnými uživateli Registru v souladu ZOOS. Jedná se o Vaše identifikační údaje, vč. rodného čísla, údaje o Vašich finančních závazcích ze smluv uzavřených s Oprávněnými uživateli Registru, včetně Vašich údajů o potenciálních finančních závazcích ze smluv, o kterých jste s Oprávněnými uživateli Registru jednali, ale k jejichž uzavření nedošlo, časové určení období, ke kterému se Vaše údaje vztahují, údaj o Oprávněném uživateli Registru, který záznam do Registru zapsal, kód Vaší smlouvy, pobočku, kde byla smlouva uzavřena, fázi smlouvy, stav smlouvy, typ smlouvy, předmět financování, úrokovou sazbu, měnu smlouvy, celkovou částku smlouvy, celkovou Vámi využitou částku, částku splátky, aktuální dlužnou částku, nesplacenou částku po splatnosti, počet dní po splatnosti, počet dlužných částek po splatnosti, datum poslední platby, periodicitu splácení, datum počátku smlouvy, předpokládané a skutečné datum ukončení smlouvy a Váš status v Registru.
  • Osobní údaje předané členy Spolku do Databáze Ostatních Údajů. Jedná se o Vaše osobní údaje, předané do DOÚ členy Oprávněnými uživateli DOÚ. Jedná se o Vám přidělené zákaznické číslo, Vaše identifikační údaje, IP adresu, počet osob závislých na Vašich příjmech, Vaše pohlaví, občanství, druh a/nebo náplň zaměstnání, výši a původ měsíčního příjmu a Vaše kontaktní údaje (číslo mobilního telefonu, e-mailová adresa, čísla bankovních účtů).

3. JAK VYUŽÍVÁME ZÍSKANÉ OSOBNÍ ÚDAJE A NA JAKÉM PRÁVNÍM ZÁKLADU 

Účel zpracování

Údaje, které nám poskytujete přímo Vy, využíváme k tomu, abychom Vám mohli předat informace, o které jste nás požádali, a abychom mohli vyřizovat Vaše žádosti, stížnosti nebo podněty a k vedení evidence o nich.

Údaje, které nám o Vás poskytnou členové Spolku, používáme k vytvoření a vedení Databází. Účelem Databází je ochrana práv a právem chráněných zájmů členů Spolku, jejich klientů a potenciálních klientů, žadatelů o jejich službu (tedy Vás), a vzájemné informování členů Spolku o Vašich identifikačních údajích a údajích vypovídajících o Vaší bonitě, Vaší platební morálce a důvěryhodnosti.

V rámci Registru můžeme s využitím Vašich osobních údajů v něm uložených vytvářet na zákonném základě ZOOS metodou profilování klientské modely (profily) ohledně Vaší osoby, které mohou sloužit k vyhodnocení pravděpodobnosti ohledně Vašeho podvodného jednání anebo schopnosti a ochoty splnit smluvní závazky. O tom, zda a jak budou případné modely posouzeny a využity ve vztahu k Vám, rozhoduje výlučně příslušný Oprávněný uživatel Registru, se kterým jste nebo hodláte vstoupit do smluvního vztahu. Pokud si nejste jistí, můžete tohoto Oprávněného uživatele Registru požádat o více informací, nebo se obrátit na nás a my pro Vás informace zajistíme.

V rámci DOÚ můžeme s využitím Vašich osobních údajů v ní uložených zpracovávat na základě Vašeho souhlasu metodou profilování klientské modely (profily) ohledně Vaší osoby, které mohou sloužit k vyhodnocení pravděpodobnosti Vašeho podvodného jednání anebo Vaší schopnosti a ochoty splnit smluvní závazky. O tom, zda a jak budou případné modely posouzeny a využity ve vztahu k Vám, rozhoduje výlučně příslušný Oprávněný uživatel DOÚ, se kterým jste nebo hodláte vstoupit do smluvního vztahu. Pokud si nejste jistí, můžete tohoto Oprávněného uživatele DOÚ požádat o více informací, nebo se obrátit na nás a my pro Vás informace zajistíme.

Všechny Vaše údaje využíváme v naší interní dokumentaci, ve které vedeme záznamy o tom, kde jsou Vaše osobní údaje uložené, způsoby jejich zabezpečení, zda byly Vaše údaje smazány, kdo je v rámci naší společnosti smazal a kdy, abychom byli schopni doložit náš soulad s právními předpisy na poli ochrany osobních údajů a zároveň si mohli plnit další povinnosti vyplývající z jiných právních předpisů.

Právní základ zpracování

Osobní údaje od Vás zpracováváme na základě plnění Vašeho požadavku, na základě našeho oprávněného zájmu (tj. ochrana našich práv, zlepšování databází a dalších našich služeb, zasílání novinek nebo změn v databázích) a na základě nám uložených zákonných povinností.

Osobní údaje v Registru zpracováváme na základě ZOOS.

Osobní údaje v DOÚ zpracováváme na základě Vašeho souhlasu, který jste udělil/a nám nebo členovi Spolku během jednání o uzavření smlouvy s tímto členem Spolku. Pokud jste takový souhlas neudělil/a, Vaše osobní údaje v DOÚ nezpracováváme.

Před použitím Vašich osobních údajů za účelem, který není uveden v těchto Zásadách, Vás vždy budeme informovat.

 

4. KDO MÁ PŘÍSTUP K VAŠIM OSOBNÍM ÚDAJŮM

Spolek dbá na ochranu Vašich osobních údajů, proto osobní údaje předáváme třetím stranám pouze za výše uvedenými účely, a to pouze v nezbytném rozsahu. Pokud předáváme třetím osobám Vaše osobní údaje, vždy tak činíme na základě adekvátní smlouvy s těmito osobami, abychom mohli kontrolovat, jak s Vašimi osobními údaji třetí strany nakládají.

K Vašim osobním údajům mají přístup níže uvedené osoby:

  • zpracovatelské, technické, serverové, webové, cloudové nebo IT služby – Creditinfo – Registr Kreditních Informací, s.r.o., Creditinfo Solutions, s.r.o.,;
  • orgány státní správy dle našich zákonných povinností;
  • členové Spolku.

S ohledem na měnící se osoby poskytovatelů některých služeb a členů Spolku není možné uvést všechny osoby jmenovitě. Aktuální seznam Oprávněných uživatelů Registru a DOÚ je uveden na internetových stránkách Spolku, dostupných na adrese https://crki.creditinfo.com/nasi-clenove.

Vaše osobní údaje zpracováváme na území Evropské unie či Evropského hospodářského prostoru a nedochází tak k jejich předávání mimo tato území.

5. PO JAKOU DOBU BUDEME VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVAT

Vaše osobní údaje budeme zpracovávat pouze po dobu nezbytně nutnou k naplnění účelů, pro které byly shromážděny – vedení Databází, vyřizování Vašich žádostí, stížností a podnětů, plnění našich zákonných povinností nebo k dalším nezbytným účelům, jako je dodržování našich právních závazků či řešení sporů. Tyto účely se pro různé situace mohou lišit, a proto na tomto místě neuvádíme konkrétní dobu. Mezi kritéria, na jejichž základě je určena doba uchovávání informací, patří:

  • Jak dlouho jsou osobní údaje zapotřebí k plnění účelů, uvedených v těchto Zásadách? To zahrnuje aktivity, jako udržování zabezpečení našich systémů a udržování příslušných obchodních a finančních záznamů. Toto je obecně platné pravidlo, které je ve většině případů základem pro určení doby uchovávání dat.
  • Poskytujete nám své údaje s očekáváním, že je budeme uchovávat, dokud je výslovně nebudete chtít vymazat?
  • Zavedli jsme a oznámili jsme konkrétní dobu uchovávání pro určitý typ dat? Pokud ano, tak ji rozhodně nikdy nepřekročíme.
  • Poskytl jste souhlas s prodloužením doby uchovávání osobních údajů? Pokud ano, budeme data uchovávat v souladu s Vaším souhlasem.
  • Vztahují se na nás právní, smluvní nebo podobné závazky uchovávat data? Mezi příklady patří zákony upravující povinné uchovávání dat, ZOOS, vládní nařízení uchovávat data související s vyšetřováním nebo zpracování osobních údajů pro účely případného vzájemného soudního sporu.

 

Údaje v Registru o Vašem závazku mohou být zpracovávány po dobu, po kterou Váš závazek trvá, a dále po dobu 3 let po jeho splacení. Pokud Váš závazek zanikl jinak než splacením nebo pokud jde o závazek promlčený nebo závazek, od jehož placení jste byli osvobozeni, lze informaci o takovém závazku v Registru zpracovávat nejdéle po dobu 3 let od zániku takového závazku, od jeho promlčení nebo od okamžiku, kdy nastalo osvobození. V případě, že nedošlo k uzavření smlouvy, mohou být údaje zpracovávány v Registru nejdéle po dobu 3 měsíců. I po uplynutí těchto lhůt jsme oprávněni uchovávat anonymizované údaje pro statistické účely a dále uchovávat doklady, které jsme v souvislosti s údaji v Registru získali nebo si obstarali, pokud je to potřebné za účelem ochrany našich práv a právem chráněných zájmů.

Údaje v DOÚ jsou zpracovávány po dobu trvání smlouvy o poskytování služeb mezi Vámi a Oprávněným uživatelem DOÚ a dále po dobu 5 let od jejího skončení. V případě, kdy byla žádost o poskytnutí služby Oprávněného uživatele DOÚ odvolána nebo zamítnuta, resp. nedošlo k uzavření smlouvy, jsou Vaše osobní údaje zpracovávány v DOÚ maximálně po dobu 5 měsíců ode dne odvolání nebo zamítnutí. Vaše osobní údaje jsou v DOÚ uloženy po tuto dobu.

6. JAK VAŠE OSOBNÍ ÚDAJE ZABEZPEČUJEME

Jsme si vědomi toho, že zabezpečení Vašich osobních údajů tak, aby nemohlo dojít k jejich zneužití, je naší důležitou povinností vůči Vám. Proto se snažíme efektivně využívat co nejlepší možná bezpečnostní opatření k tomu, abychom zneužití nebo jinému neoprávněnému zásahu do Vašich osobních údajů zabránili.

Pokud by však i přes naši nejlepší snahu došlo k bezpečnostnímu incidentu a tento incident by mohl znamenat vysoké riziko pro Vaše práva a svobody, neprodleně Vás o takové skutečnosti informujeme, a to prostřednictvím Vaší e-mailové adresy, budeme-li ji mít k dispozici, nebo prostřednictví našich členů a případným zveřejněním takové informace na našich webových stránkách včetně veškerých nutných podrobností.

Pro zabezpečení Vašich osobních údajů jsme přijali řadu bezpečnostních opatření, podrobnosti o nich naleznete v příloze A těchto zásad.

7. JAKÁ MÁTE VE VZTAHU K OCHRANĚ VAŠICH OSOBNÍCH ÚDAJŮ PRÁVA

Níže uvádíme Vaše práva, která máte ve vztahu k námi prováděnému zpracování Vašich osobních údajů. Všechna Vaše práva můžete uplatnit e-mailem na adrese dpocrkispolek@creditinfo.com, případně písmeně na adrese sídla Spolku s označením „k rukám DPO“.

Registr. Můžete vůči Spolku písemně vyjádřit Váš nesouhlas s evidencí záznamů o Vašich závazcích, u kterých nedošlo k prodlení, a o Vašich potenciálních závazcích v Registru (dále také „Pozitivní záznamy“). V takovém případě bez zbytečného odkladu odstraníme z Registru všechny Pozitivní záznamy, které se Vás týkají, a učiníme opatření, směřující k tomu, aby další Pozitivní záznamy o Vás nemohly být zapsány.

Pokud jsou údaje vedené v Registru předmětem sporu mezi Vámi a příslušným Oprávněným uživatelem Registru, přičemž o takovém sporu je vedeno soudní, správní nebo rozhodčí řízení, v němž nebylo doposud vydáno pravomocné rozhodnutí ve věci samé, nebo mimosoudní řešení spotřebitelského sporu podle ZOOS, jsme my nebo Oprávněný uživatel Registru povinni tuto skutečnost na Vaši žádost v Registru poznamenat.

DOÚ. Údaje zpracované v rámci DOÚ jsou zpracovávány na základě Vašeho souhlasu. Váš souhlas můžete u nás nebo u člena Spolku, se kterým máte uzavřenou smlouvu nebo jste jednal/a o uzavření smlouvy kdykoliv odvolat.

Ve vztahu k veškerému námi prováděnému zpracování Vašich osobních údajů máte dále následující práva:

  • právo na přístup k osobním údajům;
  • právo na opravu;
  • právo na výmaz („právo být zapomenut“);
  • právo na omezení zpracování údajů;
  • právo vznést námitku proti zpracování;
  • právo na přenositelnost údajů;
  • právo podat stížnost na zpracování osobních údajů.

Vaše práva jsou níže vysvětlena, abyste si dokázali udělat jasnější představu o jejich obsahu.

Právo na přístup znamená, že si kdykoliv můžete požádat o naše potvrzení, zda osobní údaje, které se Vás týkají, jsou či nejsou zpracovávány, a pokud jsou, pak za jakými účely, v jakém rozsahu, komu jsou zpřístupněny, jak dlouho je budeme zpracovávat, zda máte právo na opravu, výmaz, omezení zpracování či vznést námitku, odkud jsme osobní údaje získali a zda dochází k na základě zpracování Vašich osobních údajů k automatizovanému rozhodování, včetně případného profilování. Také máte právo získat kopii Vašich osobních údajů, přičemž první poskytnutí je bezplatné, za další poskytnutí pak můžeme požadovat přiměřenou úhradu administrativních nákladů. Před tím, než Vám budeme účtovat jakékoliv náklady Vás však vždy upozorníme na tuto skutečnost a vyčíslíme Vám výši nákladů dopředu a vyčkáme na Vaše potvrzení, než Vaši žádost zpracujeme.

Právo na opravu znamená, že nás kdykoliv můžete požádat o opravu či doplnění Vašich osobních údajů, pokud by byly nepřesné či neúplné.

Právo na výmaz znamená, že musíme vymazat Vaše osobní údaje pokud (i) již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, (ii) zpracování je protiprávní, (iii) vznesete námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, (iv) ukládá nám to zákonná povinnost nebo (v) ve vztahu k osobním údajům, k jejichž zpracování jste udělil souhlas, tento souhlas odvoláte.

Právo na omezení zpracování znamená, že dokud nevyřešíme jakékoliv sporné otázky ohledně zpracování Vašich osobních údajů, nesmíme Vaše osobní údaje zpracovávat jinak než tak, že budeme mít pouze uloženy a případně je můžeme použít pouze s Vaším souhlasem nebo z důvodu určení, výkonu nebo obhajoby právních nároků.

Právo vznést námitku znamená, že můžete vznést námitku proti zpracování Vašich osobních údajů, včetně profilování založeného na našem oprávněném zájmu. Pokud vznesete námitky proti zpracování z důvodu oprávněného zájmu bude tato námitka vyhodnocena a následně Vám sdělíme, zda jsme jí vyhověli a Vaše údaje nebudeme nadále zpracovávat, nebo že námitka nebyla důvodná a zpracování bude pokračovat. Každopádně po dobu, než bude námitka vyřešena, bude zpracování omezeno.

Právo na přenositelnost znamená, že máte právo získat osobní údaje, které se Vás týkají, a které jsou zpracovávány automatizovaně na základě souhlasu, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo na to, aby byly tyto osobní údaje předány přímo jinému správci.

Na naši činnost taktéž dohlíží Úřad pro ochranu osobních údajů, u kterého můžete v případě Vaší nespokojenosti podat stížnost. Více se dozvíte na internetových stránkách úřadu www.uoou.cz.

8. ZMĚNY ZÁSAD

Naše Zásady mohou být čas od času změněny. Vaše práva vyplývající z těchto Zásad bez Vašeho výslovného souhlasu neomezíme. Všechny změny Zásad zveřejníme na našich webových stránkách. Předchozí verze těchto Zásad pro Vás archivujeme, abyste k nim měli i v budoucnu přístup. Tyto verze jsou dostupné jsou z https://crki.creditinfo.com/ v sekci pro spotřebitele.

Tyto Zásady jsou účinné od 25. 5. 2018.


Příloha A zásad ochrany osobních údajů Creditinfo

Bezpečnostní opatření

Níže uvádíme bezpečnostní opatření, která se vztahují na Vaše osobní údaje když je zpracováváme.

Níže uvádíme bezpečnostní opatření, která se vztahují na Vaše osobní údaje když je zpracováváme.

Datová centra

Infrastruktura

Naše servery jsou umístěny buď v datacentru v pronajatých rackových stojanech nebo v cloudovém prostředí poskytovaném mezinárodními společnostmi (např. Microsoft Azure, Amazon Web Services atd.).

Redundance

Při umístění serverů v datacentrech jsou uplatňována standardní opatření pro zajištění záloh, zejména: zálohový zdroj napájení, zálohové připojení k síti internet, virtualizace clusterů s n+1 hosty a přepínači.

Pokud jsou naše zdroje získávány od mezinárodních společností poskytujících cloudové technologie, pak jsou zálohy zajištěny a poskytována těmito společnostmi jako standardní součást placené služby.

Napájení

Jak je uvedeno výše, tato oblast obecně závisí na vybraném typu datacentra. Vždy musí být zajištěna níže uvedená minimální úroveň: ochrana proti výpadku proudu transformátorovými stanicemi včetně pojistek, diesel generátory k překonání dlouhodobého výpadku proudu, UPS záložní jednotky s oddělenými bateriovými moduly k překonání krátkodobého výpadku proudu.

Operační systémy serveru

Svoji činnost zajišťujeme zejména na základě produktů Microsoft, ve většině případů používáme MS Windows Server OS. Konkrétní verze se liší s ohledem na řešení, vždy je však systém pořízen na základě odpovídající licence včetně zajištění dodatečných updatů. Pokud získáváme zdroje od mezinárodních společností poskytujících cloudové technologie, licence pro operační systémy jsou standardně součástí placené služby.

Zachování provozu

Máme vytvořeny a udržujeme aktuální plány k zachování našeho provozu ohledně vybraných středních a vysokých hrozeb pro hostovaná řešení na vlastních serverech. Součástí každého plánu je popis povinností, situací vedoucích k zahájení postupů podle plánu, popis kritických/mimořádných situací, reportovací metody a popis činností konkrétních osob v průběhu řešení kritické/mimořádné situace.

Sítě a přenos

Přenos dat

Ve spolupráci s členy Spolku zajišťujeme zabezpečení přenosu dat minimálně využitím firewall řešení, které je nejdůležitějším aspektem víceúrovňového přístupu v oblasti zabezpečení sítí. Smyslem firewall je filtrovat internetový provoz za účelem zmírnění rizik a ztrát spojených s bezpečnostními hrozbami, při současném zajištění odpovídající úrovně dostupnosti. Firewall bude (přinejmenším) zajišťovat následující bezpečnostní služby: kontrola přístupů mezi důvěryhodnými vnitřními a neznámými vnějšími sítěmi, blokovaní nevyžádaného provozu dle nastavených pravidel firewall, utajení informací před sítí internet (jako jsou systémová jména, síťové topologie a ID vnitřních uživatelů), logování provozu do a z vnitřní sítě, poskytování zabezpečeného VPN připojení (pokud je použitelné a vyžadované).

External Attack Surface

Námi využívaná hostovaná řešení jsou chráněna proti externím útokům odpovídajícím firewall řešením včetně pokročilých rozšíření (např. webová aplikace firewall, GEO IP filtering, Botnet filtering atd.), pokud jsou použitelná a vyžadovaná. Pokud získáváme zdroje od mezinárodních společností poskytujících cloudové technologie, je využito stejné nebo vyšší úrovně ochrany.

Zjištění narušení

Využívaná hostovaná řešení jsou chráněna proti narušení odpovídajícím firewall řešením včetně pokročilých rozšíření (např. webová aplikace firewall, GEO IP filtering, Botnet filtering atd.), pokud jsou použitelná a vyžadovaná. Pokud získáváme zdroje od mezinárodních společností poskytujících cloudové technologie, je využito stejné nebo vyšší úrovně ochrany.

Reakce na bezpečností incidenty

Monitorujeme a řešíme všechny bezpečnostní incidenty v souvislosti s hostovanými řešeními. Každý incident musí být zaznamenán v odpovídajícím systému a roztříděn podle závažnosti. Uvedený postup je popsán v našich vnitřních směrnicích (standardně v rámci dokumentace k ISO 27001, pokud je dostupná).

Šifrovací technologie

Námi využívaná hostovaná řešení, která jsou vystavena síti internet, využívají k přenosu dat týkajících se chráněných informací vždy primárně šifrovaný HTTPS protokol. Pokud získáváme zdroje od mezinárodních společností poskytujících cloudové technologie, je využito stejné nebo vyšší úrovně ochrany.

Přístupy a kontrola

Kontrola zabezpečení provozu datového centra

Pokud jsou naše servery umístěny v pronajatých rackových stojanech, jsou tyto stojany uzamčeny a přístup k nim je umožněn jen oprávněným osobám. Okolí datacentra je hlídáno kamerovým systémem a každý fyzický přístup je zaznamenán.

Postupy při fyzických přístupech k datovým centrům

Záleží na tom, zda je datacentrum provozováno s nepřetržitou podporou na místě, která monitoruje veškeré fyzické přístupy a odemyká rackové stojany po identifikaci oprávněné osoby. Pokud je datacentrum provozováno bez takovéto podpory, pak jsou zpravidla uplatňována další bezpečnostní opatření jako: přístup na základě kontroly otisku prstů, pokročilé monitorování kamerovým systémem s využitím dálkové přítomnosti bezpečnostní služby atd.

Zabezpečení zařízení nacházejících se v datovém centru

Pokud jsou naše servery umístěny v pronajatých rackových stojanech, tyto stojany nedovolují připojení žádných externích zařízení neoprávněnými osobami. Každé zařízení musí mít štítek s vlastním ID a musí být zapsáno v seznamu umístěných zařízení. Bez vědomosti oprávněných osob odpovědných za umístěná zařízení není možné přinášet nebo odnášet jakákoli externí zařízení.

Zabezpečení infrastruktury

Fyzický přístup k serverům a aktivním síťovým prvkům u hostovaných řešení na našem vlastním HW je dovolen pouze oprávněným osobám. Místnost se servery a aktivními síťovými prvky je povinně uzamknutá elektronickým zámkem s možností logovaných vstupů, nebo je logování zajištěno odpovědnou osobou.

Kontrola přístupů

Přístupová práva k hostovaným systémům jsou přidělována v nejširším možném rozsahu na základě Role-Based Access Control (RBAC). Pouze ve výjimečných případech je možné přidělit přístupové právo prostřednictvím uživatelského účtu. Jednotlivým rolím jsou přidělena pouze nezbytně potřebná práva. Kontrola přístupu je řízena autorizovanými administrátory systému, všechny přístupy musí být vytvořeny nebo měněny pouze na základě schválené žádosti příslušným majitelem příslušného systému (typicky Service Desk).

Přístupová politika

Následující pravidla dodržujeme v nejširším možném rozsahu (pokud je to technicky možné). Uživatelské heslo se musí skládat nejméně z 8 znaků; heslo administrátora se musí skládat nejméně z 12 znaků. Všechna hesla musí být (pokud je to technicky možné) dostatečně komplexní, což je při splnění alespoň 3 z následujících 4 podmínek: 1. velká písmena (A-Z), 2. malá písmena (a-z), 3. čísla (0-9), 4. nenumerické znaky (např. !, $, #, %). Systém požaduje změnu dočasně přiděleného hesla při prvním přihlášení. Heslo musí být změněno po určitém časovém období (typicky 90 dní).

Data

Uložení dat, oddělenost, logování

Každý hostovaný systém má vlastní oddělené servery (fyzické nebo virtuální). Přístupová práva jsou nastavena za účelem striktní ochrany a oddělení těchto systémů od sebe. Kontrolní záznamy jsou následně nastaveny na našich serverech k zaznamenání nastavených privilegovaných operací, monitorování chodu a výpadků systému, všech pokusů o neoprávněný přístup a chyb.

Postupy při mazání paměťových médií

Při likvidaci a vyřazování zařízení zpracovávajících data dbáme na to, aby všechna paměťová media (např. hard disky počítačů a serverů, paměťové karty s uloženou konfigurací síťových prvků, paměťové karty mobilních telefonů atd.), která obsahují citlivá/chráněná data a data ohledně konfigurace, byla před likvidací nebo vyřazením neobnovitelně smazána. Pokud je elektronické paměťové medium smazáno, musí dojít k přeformátování a přepisu náhodnými daty, minimálně v třech po sobě následujících cyklech. Využíváme specializovaný software, který zajišťuje požadovaný postup. Pokud není možné provést bezpečný výmaz nebo je třeba zařízení z rozličných důvodů fyzicky zničit, pak provedeme destrukci neumožňující další použití zařízení nebo čtení informací uložených na zařízení. Likvidaci zařízení zajišťujeme na základě spolupráce s naším smluvním partnerem.

Osoby

Chování

Každý uživatel disponuje unikátním přihlašovacím jménem za účelem sledování odpovědnosti jednotlivých osob při vykonávaných činnostech. Sdílení uživatelských jmen nedovolujeme. U každého uživatele dodržujeme pravidla tvoření hesel uvedená výše. Uživatel se vždy musí řídit vnitřními předpisy a bezpečnostními pokyny, které tvoří součást vnitřní dokumentace uplatňované v rámci Spolku (standardně v rámci dokumentace k ISO 27001, pokud je dostupná). Uvedená dokumentace musí zahrnovat alespoň politiku prázdného stolu a obrazovky, pravidla pro užívání software na koncových stanicích uživatelů, ochranu před škodlivým kódem, pravidla pro nakládání s IT vybavením a pro užívání informačních a komunikačních služeb.

Školení

Školení ohledně bezpečnostních opatření a pravidel u nás zaměstnanci a další pracovníci musí absolvovat nejméně jedenkrát ročně (většinou v rámci ISO 27001 povinného ročního školení).